「プライバシーシールド」無効判決により、グローバルに個人情報の移転を行っている事業者にとってSCC（Standard Contractual Clauses：標準契約条項）の重要性が改めて見直された。この状況下において、2020年11月、今度はEU（欧州連合）の執行機関である欧州委員会（European Commission）が、SCCを改訂するドラフト（以下「改訂ドラフト」）を公表した。改訂ドラフトのポイントと改訂の背景を、中崎尚弁護士に聞いた。

グローバルに個人情報（データ）を移転するイメージ（写真／Shutterstock）

［画像のクリックで拡大表示］

　以前に紹介した2020年7月の「プライバシーシールド」無効判決（いわゆるSchrems II判決）では（参考記事「欧米間の『プライバシーシールド』が無効判決　日本への影響は？」）、個人データの域外移転に伴うデータ保護措置の1つとして、EU（欧州連合）のGDPR（一般データ保護規則）第46条に位置付けられているSCC（Standard Contractual Clauses：標準契約条項）の有効性が確認された。このことから、グローバルに個人情報の移転を行っている事業者にとって、SCCの重要性が改めて見直されようとしている。

　さらに同判決から4カ月後の20年11月に、EUの執行機関である欧州委員会（European Commission）は、SCCを改訂するドラフト（以下「改訂ドラフト」）を公表した。改訂ドラフトは、現行のSCCフォームを大幅に改訂するものであり、また締結済みのSCCについても1年以内のアップデートの義務付けが見込まれていることから、事業者もSCC対応に相当な負担を強いられることが予想される。

Q1　プライバシーシールド無効判決（Schrems II判決）においてSCCが有効と判断された理由は。

A1　Schrems II判決では、プライバシーシールドによる個人データの移転が無効と判断された一方で、SCCに基づく個人データの移転は引き続き認められた。その理由として、同判決は、SCC上の義務が順守できない場合、移転先は移転元に通知し、移転元は移転を中止しなければならない枠組みがSCCには組み込まれており、プライバシーシールドと異なり、データ保護の実効性が認められることを挙げている。

SCC締結後も補完的措置が重要

Q2　SCC締結後は、何の手当てもせずに、使い続けてよいのか。

A2　Schrems II判決を受けて、EUデータ保護当局を統括するEDPB（European Data Protection Board）がFAQを公表した。そのFAQによれば、SCCの枠組み自体が有効であることを前提としつつも、個別の事例において、SCCによって有効に移転できるか否かについては、移転の状況をケース・バイ・ケースで判断する。SCCに加え、講じられる補完的措置（supplementary measures）により、SCCが保障する十分なレベルの保護が可能であるかによる。こう述べており、補完的措置がポイントになることが明言されている。

　このため、SCCによって個人データをEU域内からEU域外に越境移転しようとする場合、SCCを締結してそれで終わり、ということにはならない。移転当事者は、移転先の国･法域の法制度・運用を継続的に検証し、場合によっては補完的なデータ保護措置が必要になってくる。